风险管理是企业经营过程中的核心内容。风险管理审计既是风险管理的最后一道防线,又是推动风险管理向前发展的有效力量。近年来,国内外学者对风险管理审计理论进行了研究。本文对风险管理审计理论的产生、研究成果等进行了系统的探讨。

一、风险管理审计的产生

随着企业管理理论与实践的发展,内部审计受托责任在范围和内容上不断扩展和充实,内部审计的外延和内涵也日益拓展和丰富,从而不断出现新的导向阶段。20世纪90年代起,关注利益相关者的价值理念在管理中成为主流思想,企业致力于增加价值,公司治理、内部控制以及风险管理的研究进入了比较成熟的阶段,世界各地相关法规纷纷出台,对内部审计提出了新的要求,公司管理层也希望从内部审计工作中得到更富有建设性的服务以巩固、提高其组织地位,这一切都给内部审计带来了压力,风险管理审计就是应对这些压力而产生的。

风险管理审计由内部审计始发而来,是沿着内部审计和管理实践两条道路发展而来。早在1997年,麦克宁和塞林(McNamee SeLim)就提出内部审计在组织中的作用已经从原来的“独立的评价职能”转变为“整合风险管理和公司治理”。虽然麦克宁和塞林没有展开具体分析,但可以说他们的观点是有前瞻性和洞察力的。严晖(2004)认为,以风险为核心和出发点的内部审计从事后反应式的评价和反馈转变为更加能动、及时的前馈和实时反应。郑小荣(2006)认为,现代企业面临的高风险经营环境,引起企业对内部审计需求的变化,是风险管理审计产生的内部背景,而审计外部化趋势侵蚀内部审计生存的职业空间是风险管理审计产生的外部背景。王光远(2007)认为,企业有许多风险点,需要对风险点进行专门审计,这便产生了风险管理审计。有关风险管理审计理论与实务的研究,从20世纪90年代兴起,有些团体和个人做了大量的工作,取得了具有可操作性的结果。1995年澳大利亚标准委员会和新西兰标准委员会成立的联合技术委员会制定和出版了世界上第一个企业风险管理标准S/NEZ4360标准,为企业内部审计提供了一个以风险为基础的框架(严复海,2007)。澳大利亚内部审计已较早地走出单纯财务收支审计圈子,步入以内部控制和风险管理为主要内容的现代审计,澳大利亚内部审计参与风险管理和控制的基本流程已成为固定模式。国际内部审计师协会(IIA)研究基金会(2001)在《企业风险管理——趋势和最佳实践》一文中建立了企业风险管理框架。该框架包括评估风险、整合风险、探究风险和保持向前四个环节。总部位于纽约的雅芳公司,内部审计部门的目标是成为运营部门和公司管理层的业务伙伴,“根据公司战略行为和目标调整审计策略,在新的业务风险降临时,设法从开始就介入,并通过雇佣有经验的员工执行原本草率行事的初始检查。内部审计部门通过引导公司改进审计计划来关注公司全面的业务风险。”杜邦(Du Pont)公司内部审计人利用战略经营机构网络进行全球性风险评估和认定。内部审计人利用风险模型的分析结果,与管理当局讨论实际的风险情况,确定下年的主要风险领域。

二、风险管理审计研究成果

从21世纪初至今,美国对风险管理审计做了大量的实证研究或经验研究,并取得了丰硕的成果。2004年美国国家财务报告舞弊委员会(National Commission On Fraudulent Financial Reporting, i.e Treadway Commission)所发起的内部控制研究组织(Committee of Sponsoring Organization,COSO)发布了《企业风险管理框架》(Enterprise Risk Management-Integrated Framework, ERM),该风险框架是COSO 委托美国普华永道会计公司(Pricewaterhouse Coopers)组织编写的,基本上是对在全球跨国公司运用多年的全面风险管理实践进行的系统总结,成为风险管理审计发展史上的经典文献。在ERM框架中,要求内部审计人员在监督和评价成果方面承担重要任务,评估风险管理要素的内容和运行以及执行质量,协助管理层和董事会履行其职责。ERM扩大了内部控制的范围,提高了内部控制的层次,是一个更关注风险的强大的概念体系。值得一提的是,2004年IIA-UK and Ireland机构发表的名为《The Role of Internal Audit in Enterprise Wide Risk Management》的意见书中指出,采用ERM的组织已逐渐认识到,内部审计能在组织的ERM过程中发挥最为合适的作用。Beasley等在COSO发布ERM框架之后的经验研究表明,“ERM使内部审计对组织风险有了更好的了解……随着内部审计部门在ERM方面的经验越来越丰富,ERM对内部审计的积极影响将得到更多的体现。”这表明ERM对内部审计产生了显著影响,内部审计在ERM中扮演着多种不同的角色。Compion、Antita(2000),Gerrit Sarens,Ignace De Beelde(2005),澳大利亚证券交易所(Australian Stock Exchange)明确提出了风险管理包含内部控制的观点。英国与爱尔兰内部审计协会2003年8月颁布了关于“风险管理审计”的立场公告(Position Statement),对风险管理审计的作用做出了阐述。2004年IIA《内部审计实务标准——专业实务框架》的修订对风险管理审计科学成长意义重大。江苏省内部审计师协会2004年印发《江苏省内部风险管理审计准则》(试行)。中国内部审计协会2005年发布内部审计具体准则16号——《企业风险管理审计》。这些著作和法规代表了管理职业界发展风险管理审计的尝试。
风险管理审计的文献除涉及上述风险管理审计的历史发展外,还涉及了风险管理审计实施的必要性、风险管理审计的动因等方面内容。《内部审计思想》(Bailey等,2006)中,Herman-son和Rittenberg将内部审计的治理活动界定为“风险监控”和“控制确认”。他们认为,“风险监控、控制确认和遵循工作构成内部审计活动的主要部分,这三个要素共同直接勾画出组织治理”,内部审计在公司治理中的作用“包括监控、评价和分析组织的风险与控制,以及检查和确认信息与政策、程序和法律的遵循”。摩根士丹利(Morgan Stanley)高级经理卓继民(注册会计师)的专著《现代企业风险管理审计》中对风险管理审计理念和方法进行了系统的阐述,他运用工具、模型以及来自实践的案例研究了风险管理审计的概念、对象、准则、报告等一些基本的问题,为风险管理审计的规范化做了大量基础性工作。陈珊珊对风险管理审计从纵横角度分析了其最新定位和独特优势。陈锦烽认为,内部审计工作从控制扩大为风险管理及公司治理是时势所趋。王骥认为风险管理将由一般能力变为核心竞争能力,成为企业管理的重点。高东坡在《内部审计如何参与企业的风险管理》中研究了在我国开展风险管理审计的必要性和可行性,着重强调了由内部审计师执行风险管理审计业务的优势。夏丹宁在《推进风险管理审计的思路》中从理论与实践相结合的角度,就风险管理审计选题、立项、工作方案、审计方法、审计评价等做了初步的探讨。刘世谨将风险管理审计动因概括为以下四点:其一,企业面临的风险日益增大,减少企业面临的风险是组织实现目标的关键;其二,内部审计对发展的渴求,使内部审计师把风险管理作为内部审计的重要领域;其三,内部审计能够在风险管理中发挥独特的作用,包括管理风险、控制指导风险管理策略、加强管理层对内部审计部门意见的重视程度;其四,外部审计扩展了风险评估这项新的保证服务业务,这不能不对内部审计界产生影响。孟焰认为,企业风险管理审计应当包括以下方面的内容:1.通过审查风险管理组织机构的健全性、风险管理程序的合理性、风险预警系统的存在及有效性确定企业风险管理机制的健全性及有效性;2.通过审查风险识别原则的合理性、风险识别方法的适当性确定风险识别的适当性及有效性;3.实施必要的审计程序,对风险评估过程进行审查与评价,并重点关注风险发生的可能性和风险对组织目标的实现产生影响的严重程度两个要素。同时,内部审计人员应当充分了解风险评估的方法,并对管理层所采用的风险评估方法的适当性和有效性进行审查。

21世纪以来,风险管理审计的问题逐渐成为世界范围内普遍关注的问题和会计、审计科学改革的焦点。独立咨询师(IMC)、国际注册内部审计师(CIA)、金融风险管理师(FRM)和注册企业风险管理师(CERM)四支力量推动着风险管理审计的发展。诸如以迈克尔·波特为代表的战略管理理论以及迈克尔·哈默、詹姆斯·钱皮的企业再造理论等为风险管理审计提供了重要的理论基础,数理统计学、实证方法、计算机技术等为风险管理审计有关方式和方法的建立和运用提供了有利的技术方面的支持。

三、对风险管理审计研究现状的总体评价

风险管理审计作为一个新兴的内部审计分支,改变了传统的思维方式,扩大了风险管理的应用范围,优化了内部审计行为,为内部审计的职业发展提供了广阔的空间。它虽然只发展了20多年,但已经取得了可喜的研究成果:1.风险管理审计逐渐从概念转换成具体的行动步骤;2.企业越来越重视风险管理体系的建立健全;3.我国学者借鉴国外的研究成果,对风险管理审计进行了富有成果地探讨;4.风险管理审计的研究领域不断拓展。

但是,风险管理审计目前仍有许多实际问题需要解决:

1.如何建立广泛的风险管理观念;2.建立什么样的企业风险管理框架;3.风险管理审计实施工具的开发;4.风险管理审计如何参与企业制度风险、法律风险等其他风险的评估测试;5.公司治理、内部审计和风险管理的整合;6.风险导向审计与风险管理审计概念的界定。这些方面都是今后风险管理审计的研究方向。

【参考文献】

[1] 司欣波.澳大利亚内部审计模式调查与研究[J].会计师, 2006(5):45.

[2] 赵金芳,黄甲喜.对企业风险管理实施内部审计的思考[J].商业会计,2007(1):27.

[3] 卓继民.现代企业风险管理审计[M].北京:中国财政经济出版社,2005.

[4] committee of the Sponsoring Organizations of the Treadway Commission. Enterprise Risk Management Framework, (Draft)[R]. New York: COSO, 2003.

[5] The Institute of Internal Auditors-UK and Ireland. Position Statement: Risk Based Internal Auditing[S]. London: IIA UK and Ireland, 2003:3.

[6] 许天祥,范国佑,韦华宁.如何做好内部审计[M].北京:中国财经出版社,2007.

[7] 陈珊珊.内部审计:三维视角下的重新审视[J].中国工会财会2005(6):9.

[8] 陈锦烽,苏淑美.内部审计新纪元[M].大连:大连出版社,2006.

[9] 王骥.内部审计参与风险管理的路径[J].企业改革与管理,2007(6):17.

[10] 高东坡.内部审计如何参与企业的风险管理[J].商场现代化,2007(9):73.